BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC HÒA BÌNH NGUYỄN ANH TUẤN TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY TRƢỜNG ĐẠI HỌC HỊA BÌNH LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI, 2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC HỊA BÌNH NGUYỄN ANH TUẤN TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY TRƢỜNG ĐẠI HỌC HỊA BÌNH LUẬN VĂN THẠC SĨ CƠNG NGHỆ THƠNG TIN Mã số: 8380107 Ngƣời hƣớng dẫn khoa học: TS NGUYỄN ĐĂNG MINH HÀ NỘI, 2022 LỜI CAM ĐOAN Tôi xin cam đoan: Khoá luận tốt nghiệp với đề tài “TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ XÂY DỰNG ỨNG DỤNG SNORT CHO PHÒNG MÁY TRƢỜNG ĐẠI HỌC HỊA BÌNH” cơng trình nghiên cứu cá nhân tôi, không chép Mọi giúp đỡ cho việc thực luận văn đƣợc cảm ơn thơng tin trích dẫn luận văn đƣợc ghi rõ nguồn gốc Hà Nội, tháng 05 năm 2022 TÁC GIẢ LUẬN VĂN Nguyễn Anh Tuấn i LỜI CẢM ƠN Khóa luận tốt nghiệp đƣợc hồn thành trƣờng Đại Học Hịa Bình Có đƣợc luận văn này, tơi xin bày tỏ lịng biết ơn chân thành sâu sắc tới trƣờng, khoacông nghệ thông tin đặc biệt thầy Nguyễn Đăng Minh trực tiếp hƣớng dẫn, dìu dắt, giúp đỡ tơi với dẫn khoa học quý giá suốt trình triển khai, nghiên cứu hồn thành đề tài “Tìm hiểu hệ thống phát xâm nhập xây dựng ứng dụng Snort cho phòng máy Trƣờng Đại Học Hịa Bình” Xin chân thành cảm ơn thầy trực tiếp giảng dạy truyền đạt kiến thức khoa học chuyên ngànhcông nghệ thông tin cho thân năm tháng qua Xin gửi tới trƣờng Đại Học Hịa Bình lời cảm tạ sâu sắc tạo điều kiện thuận lợi giúp thu thập tài liệu nghiên cứu cần thiết liên quan tới đề tài tốt nghiệp Nhân xin đƣợc bày tỏ lịng biết ơn sâu đậm, lần tơi xin chân thành cảm ơn đơn vị cá nhân hết lòng quan tâm tới nghiệp đào tạo đội ngũ cán ngành công nghệ thông tin Tơi mong nhận đƣợc đóng góp, phê bình quý thầy cô, nhà khoa học, bạn Tôi xin chân thành cảm ơn! Hà Nội, tháng 05 năm 2022 TÁC GIẢ LUẬN VĂN MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC HÌNH ẢNH vi DANH MỤC TỪ VIẾT TẮT viii LỜI MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ BẢO MẬT VÀ HỆ THỐNG IDS (INTRUSTION DETECTION SYSTEM) 1.1 Khái niệm bảo mật .3 1.2.Tính an tồn hệ thống .6 1.3.Những mối đe dọa với hệ thống 1.3.1.Mối đe dọa khơng có cấu trúc (Untructured threat) 1.3.2 Mối đe dọa có cấu trúc (Structured threat) 1.3.3.Mối đe dọa từ bên (External threat) 1.3.4 Mối đe dọa từ bên (Internal threat) 1.4 Khái niệm xâm nhập 10 1.5 Các hình thức phát xâm nhập 11 1.5.1 Phát dựa bất thƣờng 11 1.5.2.Phát thông qua Protocol 11 1.5.3 Phát nhờ trình tự học 11 1.6 Hệ Thống IDS(INTRUSTION DETECTION SYSTEM) 12 1.6.1 Tổng quan IDS 12 a.Giới thiệu 12 b Khái niệm 13 c Lợi ích 14 d Những hệ thống IDS 15 1.6.2 Thành phần nguyên lý hoạt động IDS 15 a.Thành phần 15 b Nguyên lý hoạt động 17 c Chức 18 1.6.3 Phân loại IDS 19 a Network-based IDS (NIDS) 19 b Host-based IDS (HIDS) 21 1.6.4 Cơ chế hoạt động IDS 22 a Mơ hình phát lạm dụng 23 b Mơ hình phát bất thƣờng 23 c Cách phát kiểu công thông dụng IDS 23 KẾT LUẬN CHƢƠNG 29 CHƢƠNG 2.ỨNG DỤNG SNORT 30 2.1 Giới thiệu Snort 30 2.2.Kiến trúc Snort 31 2.2.1 Module giải mã gói tin (Packet Decoder) 32 2.2.2 Module tiền xử lý (Preprocessors) 32 2.2.3 Module phát (Detection Engine) 33 2.2.4 Module log cảnh báo (Logging and Alerting System) 33 2.2.5 Module kết xuất thông tin (Output Module) 33 2.3 Bộ luật Snort 34 2.3.1 Cấu trúc luật Snort 34 2.3.2 Các chế hoạt động Snort 38 2.3.3 Các chế hoạt động Snort 39 2.3.4 Một số công cụ, phần mềm phát chống xâm nhập 39 2.3.4.1 Tƣờng lửa (Firewall) 39 2.3.4.2 Hệ thống phòng chống xâm nhập IPS 40 KẾT LUẬN CHƢƠNG 42 CHƢƠNG 3.TRIỂN KHAI ỨNG DỤNG SNORT 43 3.1.Download Snort 44 3.2.Tiến hành cài đặt Snort 45 3.3.Sử dụng Snort 61 3.3.1.Chế độ Sniffer Packet: 61 3.3.2.Chế độ Packet Logger 64 3.3.3.Chế độ NIDS 65 3.3.4.Kịch phát xâm nhập 68 KẾT LUẬN 72 Những phần nắm đƣợc 72 Những chƣa đạt đƣợc 73 Định hƣớng mở rộng 73 DANH MỤC TÀI LIỆU THAM KHẢO 74 Tiếng Việt: 74 Tài liệu Internet: 74 Trích dẫn tài liệu: 74 DANH MỤC HÌNH ẢNH Hình 1.1 Tổng quan bảo mật Hình 1.2: Hệ thống Virus & threat protection win 10 Hình 1.3: Hệ thống mạng riêng ảo Hình 1.4: hình ảnh mã hóa file zip Hình 1.5: Cơng cụ hack Metasploit Penetration Testing Software Hình 1.6 hình thức xâm nhập 10 Hình 1.7 Hệ thống IDS 12 Hình 1.8 Nguyên lý hoạt động 17 Hình 1.9: Hình ảnh minh họa hệ thống IDS 19 Hình 1.10: Xác minh danh tính captcha website đăng ký ts ETU 24 Hình 2.1 Kiến trúc Snort 31 Hình 3.1: Hệ thống sơ đồ phịng máy 43 Hình 3.2 Giao diện trang https://snort.org/ 44 Hình 3.3 Giao diện download Rules 44 Hình 3.4: Cài đặt wincap 47 Hình 3.4a: Cài đặt wincap bƣớc 48 Hình 3.4b: Kết thúc cài đặt wincap 49 Hình 3.5 Màn hình License Agreement 50 Hình 3.6: Cài đặt notepad++ 54 Hình 3.6a: Cài đặt notepad++ bƣớc 54 Hình 3.6b: Cài đặt notepad++ bƣơc tiếp 55 Hình 3.6c: chọn tiếp tục cài đặt notepad++ 56 Hình 3.6d: Chọn cài đặt 56 Hình 3.7: Khai báo biến HOME_NET 57 Hình 3.8: Khai báo biến RULE_PATH 58 Hình 3.9: Khai báo biến classification, reference 59 Hình 3.10: Đặt dấu # trƣớc preprocessor 59 Hình 3.11: Khai báo dynamicpreprocessor dynamicengine 60 Hình 3.12:Kết thu đƣợc 61 Hình 3.16: Địa IP máy Client 66 Hình 3.17: Máy client ping đến địa IP Server Snort 66 Hình 3.18: Máy Client truy cập hệ thống mạng qua google 67 DANH MỤC TỪ VIẾT TẮT Tên viết tắt Tên đầy đủ IDS Intrusion detection system NIDS Network-based IDS HIDS Host-based IDS VPN virtual private network SSL Secure Sockets Layer IPS Intrusion prevention system dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll Hình 3.11: Khai báo dynamicpreprocessor dynamicengine Cuối chạy lệnh để kiểm tra Snort: snort -i -c c:\Snort\etc\snort.conf -T Snort –l c:\snort\log –c c:\snort\etc\snort.conf–A console Hình 3.12:Kết thu đƣợc Nhƣ ta cài đặt thành công Snort Sau thấy thông báo cài đặt xong ta tiến hành thực test thử luật Snort để kiểm tra khả phát xâm nhập hệ thống 3.3.Sử dụng Snort 3.3.1.Chế độ Sniffer Packet: Để tiến hành Sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính có sử dụng nhiều card sử dụng lệnh: snort -W Hình 3.12 Kết thu đƣợc Vậy card mạng có số hiệu Bây tiến hành sniffer packet dùng lệnh: C:\snort\bin>snort –dev –ix (với x số hiệu card mạng) Trong trình chạy Snort, tiến hành Ping IP 192.168.0.2 vào máy Window Server 192.168.0.101) Hình 3.13 Bắt phân tích gói tin Kết thu đƣợc sau bắt gói tin từ máy client : Hình 3.14 Kết thu đƣợc 3.3.2.Chế độ Packet Logger Chúng ta lƣu có gói liệu vào file log để xem lệnh: snort –dev –i1 –l C:\snort\log Hình3.15Kết thu đƣợc Đọc log ghi lại: snort –dvr C:\Snort\log\snort.log.NHÃN THỜI GIAN 3.3.3.Chế độ NIDS Tất hành động Snort IDS hoạt động thông qua rule, cần phải tạo hay chỉnh sữa rule đƣợc tạo sẵn Lệnh: alert tcp any any -> any any (content:"www.google.com";msg:"co may truy cap google"; sid: 100000;) lƣu vào theo đƣờng dẫn C:\Snort\rulesvới tên demo.rules Chạy Snort với dòng lệnh snort -i -c c:\Snort\etc\snort.conf -A console Máy Client với địa IP 192.168.1.20 ping đến Server Snort có địa IP 192.168.0.101 Hình 3.16: Địa IP máy Client Hình 3.17: Máy client ping đến địa IP Server Snort Hệ thống Snort phát có máy ping đến server thơng báo có máy ping tới Server Với nội dung thông báo, ngày giờ, địa máy bị ping server với ip 192.168.1.2, địa máy ping với ip 192.168.1.20 giao thức ICMP truy cập website www.google.com.vn Hình 3.18: Máy Client truy cập hệ thống mạng qua google Khi hệ thống máy Client bắt đầu sử dụng hệ thống internet để truy cập trang mạng hệ thống Snort gửi thông báo đến máy chủ, điều giúp cho nhà quản trị cụ thể quản lý phịng giám sát phát truy cập bất thƣờng trang website khơng an tồn từ nhà quản trị chặn trang website qua hệ thống mà nhà mạng cung cấp để quản lý mạng Các liệu lƣu hệ thống Snort nhà quản trị xem lại Ngồi nhà quản trị cấu hình số website khơng an tồn để cảnh báo có máy truy cập vào website Kết hiển thị máy chủ đƣợc thị thơng báo tức có truy cập vào hệ thống internet nhƣ hình bên dƣới Hình 3.19 Kết thu đƣợc 3.3.4.Kịch phát xâm nhập Một kịch phát xâm nhập thông ping of data đƣợc giửi đến máy bảo vệ Thông qua giửi tệp tin đến kẻ cơng xâm nhập công lấy giữ liệu máy tính Snort giúp cảnh báo bảo vệ khỏi cơng thơng qua việc giới hạn gói tin Snort sử dụng luật sau: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"goi tin co kich thuoc lon"; dsize:>1000; sid:1000006;) Chạy Snort với dòng lệnh snort -i -c c:\Snort\etc\snort.conf -A console Sau ta mở cmd bên máy client gõ câu lệnh: ping –l 3000 192.168.1.12 Hình 3.20ping –l 3000 192.168.1.12 Sau máy client truyền gói tin hệ thống Snort nhận định gói tin vƣợt q kích thƣớc mà hệ thống chịu tải đƣợc thơng báo hình máy chủ, từ nhà quản trị có chặn gói tin để tránh trƣờng hợp hệ thống bị tê liệt giới hạn băng thông, số kiểu cơng để đảm bảo an toàn cho hệ thống mạng cần tạo lên nhiều luật kết hợp luật với để hệ thống đƣợc chặt chẽ giảm thiểu kẽ hở an ninh mạng khơng hệ đảm bảo bảo mật tuyệt đối, kết hiển thị nhƣ hình bên dƣới Hinh 4.3.4.aKết Demo Ngồi ping of data ta cịn sử dụng luật ping để cảnh báo đến phát có xâm nhập: alert icmp any any -> any any (msg:"canh bao PING"; sid:1000001; rev:1;) Hình 4.3.4.bKết thu đƣợc Chúng ta cịn kết hợp nhiều luật snort với để hệ thống đƣợc hoàn thiện sau số luật: alert icmp any any -> any any (msg:"Testing ICMP alert"; sid:1000001; rev:1;) alert udp any any -> any any (msg:"Testing UDP alert"; sid:1000002; rev:1;) alert tcp any any -> any any (msg:"Testing TCP alert"; sid:1000003; rev:1;) alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"canh bao dang nhap TELNET"; flow:to_server,established; sid:500;) alert tcp any any -> any any (content:"www.google.com"; msg:"co may truy cap google"; sid:100000; rev:1;) alert ip any any -> 192.168.1.0/24 any (dsize:>6000; msg:"goi tin co kich thuoc lon";) KẾT LUẬN Những phần nắm đƣợc Sau thời gian nghiên cứu luận văn đƣợc thực hoàn chỉnh theo đề cƣơng đặt Về mặt lý thuyết đề tài nêu đƣợc vấn đề hệ thống phát phòng chống xâm nhập Bên cạnh đề tài tìm hiểu xây dựng thành cơng hệ thống thực tế đƣợc triển khai hiệu đƣợc đánh giá cao Snort Đánh giá hiệu ứng dụng phòng quản lý sinh viên, hệ thống giám sát đƣợc trình sử dụng mạng sử dụng liệu host, Snort hệ thống giám sát cảnh báo dựa luật đƣợc từ trƣớc ngăn chặn đƣợc kết hợp với phần mềm chống xâm nhập khác nhƣ IPS Tƣờng lửa q trình triển khai hệ thống có phát host có sử dụng mềm crack win, office phần mềm khác… đƣa cảnh báo phần lớn phần mềm khơng có quyền lên em cho phép cài crack, nhà quản trị khơng cho phép cài đặt sử dụng phần mềm thứ để ngăn chặn tìm xóa file chứa mã crack Do thời gian có hạn nên hệ thống xây dựng đƣợc triển khai phân đoạn mạng nhỏ nên chƣa thể đánh giá đƣợc hết hiệu suất hệ thống nhƣ vấn đề công mạng gặp phải thực tế Ngoài ra, hệ thống Snort chƣa đáp ứng đƣợc cho mơ hình mạng lớn quy mơ kinh phí đầu tƣ lớn Đề tài cho ta thấy rõ đƣợc cần thiết bảo mật, hạn chế phƣơng pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triển Hệ thống phát xâm nhập mạng (IDS) xuất sau nhƣng đóng vai trị khơng phần quan trọng IDS giúp khám phá, phân tích nguy cơng Từ vạch phƣơng án phịng chống góc độ tìm đƣợc thủ phạm gây công  Nắm bắt đƣợc khái niệm hệ thống phát xâm nhập  Triển khai đƣợc hệ thống phát xâm nhập phổ biến Snort  Nắm bắt đƣợc chế viết luật cho Snort thực thi Snort chế độ nhƣ: Sniffer Packet, Packet Logger Những chƣa đạt đƣợc Do thời gian nghiên cứu có hạn kinh phí đầu tƣ sở vật chất nên hệ thống chƣa khai thác sâu đƣợc Đề tài cịn nhiều thiếu sót Phần lý thuyết tổng quát sơ lƣợc tóm tắt chƣa sâu nghiên cứu vấn đề Phần thử nghiệm tìm hiểu chế độ đơn giản Sniffer Packet, Packet Logger, NIDS Về vấn đề viết rule cho Snort để xử lý hệ thống luật viết có phần cịn đơn giản Định hƣớng mở rộng Sau nắm hệ thống phát xâm nhập (IDS),có thể thực nghiên cứu hệ thống phát ngăn chặn xâm nhập (IPS) triển khai cho hệ thống mạng tổ chức nhƣ hệ thống kết hợp với IDS để ngăn chặn công mạng Nghiên cứu sử dụng Snort đểphát hình thức cơng phát triển lên phƣơng pháp phịng chống tiên tiến tƣơng lai không xa Triển khai hệ thống xây dựng đƣa vào thực tế để phát mối đe dọa hệ thống cảnh báo vấn đề gặp phải, từ tìm biện pháp để khắc phục nhƣ hoàn thiện hệ thống DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt: [1]Đỗ Trung Tuấn, 2018,An toàn sở liệu, NXB ĐHQG Hà Nội [2] Hồ Đắc Phƣơng, 2014,Nhập mơn mạng máy tính, NXB Giáo Dục [3] Trần Thanh-Điệp IT_C,, 2009,Tự học quản trị mạng, NXB Lao Động Tiếng Anh: [4] Authorized Cert Guide, 2012,CompTIA Security+ SY0-301,Pearson Education [5] Exam Guide, 2015, CompTIA Security+, McGraw-Hill Education [6] Martin Roesch, 2003, Chris Green, Snort User Manual, The Snort Project [7] Omar Santos,2008,End-to-End Network Security Defense-in-Depth,Cisco Systems Tài liệu Internet: https://vi.wikipedia.org/ Snort - Network Intrusion Detection & Prevention System https://viblo.asia/ Install Snort 2.9.8 on Windows - YouTube Trang tài liệu Snort: https://www.snort.org/documents Trích dẫn tài liệu: [1] : Bảo mật – Wikipedia tiếng Việt [2] : Trang 52, Đỗ Trung Tuấn, An toàn sở liệu, NXB ĐHQG Hà Nội, 2018 [3] : Trang 310, Trần Thanh-Điệp IT_C, Tự học quản trị mạng, NXB Lao Động, 2009 [4] : Bài báo James Anderson nguồn internet [5]Hệ thống phát xâm nhập – Wikipedia tiếng Việt [6][Network] Tìm hiểu chế, cách hoạt động IDS (phần 1) (viblo.asia)